FIDO技术原理简要剖析-2.pdf

FIDO技术原理简要剖析 李俊lijun@ 首席架构师 国民认证科技（北京）有限公司 2016-11 1 目录 • 背景、概念、范畴、目标 • UAF协议总体框架 • UAF协议流程详解 • UAF应用部署方案 • UAF安全设计思路 • 若干需阐明的问题 • FIDO产业链简介 2 目录 • 背景、概念、范畴、目标 • UAF协议总体框架 • UAF协议流程详解 • UAF应用部署方案 • UAF安全设计思路 • 若干需阐明的问题 • FIDO产业链简介 3 移动互联网对身份认证的需求 安全性 便捷性 隐私保护 • 身份凭证的保密性 • 用户体验良好 • 用户隐私数据的保密性 • 认证信息的完整性 • 易于理解和操作 • 用户行为的不可链接性 • 身份认证的可用性 • 快速完成认证 • 企业业务数据的保密性 • 移动设备本身的安全性？ • 无需携带额外的专用设备 • 用户隐私被采集到后台了么？ • 移动设备丢失如何处理？ • 身份凭证不容易丢失或遗忘 • 用户的操作能够被非法追踪么？ • 身份凭证是否容易被窃取？ • 随时随地简单易用 • 企业关键数据被泄露出去了吗？ • …… • …… • …… • 与业务场景的适配性及可扩展性 • 与产业链的配合程度 • 与企业自身安全策略和发展战略的适配性 • 与国家及行业监管政策的合规性 适配性 4 传统静态口令方式存在较大问题 拖库：口令数据库被黑 钓鱼：假网站诱骗口令 撞库：跨站点的口令重用 木马 ：键盘记录器 体验差：移动设备输入难 破解：容易被暴力破解 安全性 隐私保护 便捷性 适配性 5 静态口令安全模型：攻击面较广 Web服务 **** 网络传输过程中存在 口令被嗅探的可能性 **** 口